Remote Einwahl; Netzmedium - Siemens SIMATIC PCS 7 Inbetriebnahmehandbuch
Prozessleitsystem support- und remote-einwahl
Vorschau ausblenden
Andere Handbücher für SIMATIC PCS 7:
- Handbuch (592 Seiten) ,
- Referenzhandbuch (292 Seiten) ,
- Funktionshandbuch (260 Seiten)
Inhaltsverzeichnis
Werbung
Einwahl
4.2 Remote Einwahl
den gewünschten Sicherheitsanforderungen können die Inhalte und die Art der Überprüfung
durch den Anlagenbetreiber selbst definiert werden. Erst nach bestandener Überprüfung kann
der Supportmitarbeiter auf das PCN der Anlage oder eine bestimmte Engineering Station
zugreifen. Wird darüber hinaus auch noch Zugriff auf das Control System Network (CSN)
benötigt, sollten die Quarantäneskripts so ausgearbeitet sein, dass die zusätzlichen
Netzwerkkarten einer Engineering Station (z.B. CP 1623) mit Kontakt zum CSN zu Beginn
deaktiviert und erst nach bestandener Überprüfung wieder aktiviert werden.
4.2
Remote Einwahl
4.2.1
Netzmedium
Geräte Direktverbindung
Direktverbindungen werden zwischen zwei Geräten z.B. zwei ISDN-Router oder zwei Siemens
Teleservice Geräten initialisiert. Es wird immer eine "Punkt zu Punkt Verbindung" zwischen
den beiden Geräten aufgebaut, über die die Daten ausgetauscht werden können. Man kann
diese Geräte meist so konfigurieren, dass sie nur Verbindungen zu oder von definierten
Rufnummern oder Geräten zulassen bzw. annehmen. Des Weiteren können sie oft so
eingestellt werden, dass vor dem Verbindungsaufbau die "Einwahl" manuell bestätigt werden
muss. So kann man über telefonische Rücksprachen sicher stellen, dass die Verbindung
wirklich vom Supportmitarbeiter aufgebaut wird. Aus den oben genannten Gründen genügt es
bei diesem Szenario, eine PPTP-VPN Verbindung zu verwenden.
Internet
Erfolgt die Einwahl über das Internet, muss die größtmögliche Sicherheit gewährleistet werden,
da im Prinzip jeder Nutzer im Internet versuchen kann, sich auf den VPN-Server einzuwählen.
Dieser VPN-Server ist Teil der Back-Firewall und damit in der Verantwortung des
Anlagenadministrators und wird über die Front-Firewall ins WAN (Internet/Intranet/Office-
Netzwerk) veröffentlicht. In diesem Szenario nimmt deshalb die Front-Firewall VPN-
Verbindungen stellvertretend an und reicht sie an die Back-Firewall weiter. Durch diese
Konfiguration wird sichergestellt, dass die Front-Firewall keine Routinginformationen zum
PCN oder gar Informationen über die Netzwerkstruktur innerhalb der MCS Ebene überhaupt
besitzt.
Für jeden Supportmitarbeiter sollte ein eigener Benutzer mit starkem Passwort eingerichtet
werden, damit Zugriffe nachvollziehbar sind. Das Freischalten dieser Benutzer sollte temporär
und nach telefonischer Rücksprache erfolgen. Für die Kommunikation muss unbedingt ein
besonders sicheres Tunnelprotokoll z.B. L2TP-IPSec VPN eingesetzt werden, um durch ein
hohes Maß an Sicherheit und Verschlüsselungstiefe die Integrität und Vertraulichkeit der
Daten zu gewährleisten.
14
Support- und Remote-Einwahl
Inbetriebnahmehandbuch, 11/2016, A5E39250001-AA
Werbung
Inhaltsverzeichnis
